Google a corrigé une faille de sécurité majeure qui aurait permis aux attaquants d’envoyer des e-mails falsifiés se faisant passer pour un autre client d’entreprise Gmail ou un utilisateur de Google. Selon la chercheuse en sécurité Allison Husain, ce bogue a été découvert et signalé à Google en avril. La faille de sécurité permet également aux attaquants de transmettre les e-mails usurpés comme étant conformes à SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting, and Conformance).

« En raison d’une vérification manquante lors de la configuration des itinéraires de messagerie, la politique stricte DMARC / SPF de Gmail et de tout client G Suite peut être contournée en utilisant les règles de routage des e-mails de G Suite pour relayer et garantir l’authenticité des messages frauduleux. Ce n’est notamment pas la même chose que le courrier classique. usurpation d’antan dans laquelle l’en-tête From reçoit une valeur arbitraire, une technique qui est facilement bloquée par les serveurs de messagerie à l’aide du Sender Policy Framework (SPF) et de l’authentification, des rapports et de la conformité des messages basés sur le domaine (DMARC) », a écrit Husain dans sa Blog.

« Ce problème est un bug propre à Google qui permet à un attaquant d’envoyer des e-mails comme n’importe quel autre utilisateur ou client G Suite tout en respectant même les règles SPF et DMARC les plus restrictives », a-t-elle ajouté.

Le problème de sécurité était le résultat d’une « vérification manquante lors de la configuration des routes de messagerie », selon le chercheur en sécurité qui a découvert le bogue le 3 avril.

Il est pertinent de noter que le géant de la technologie a même accepté le problème le 16 avril, mais l’a classé comme un bogue de priorité 2, gravité 2, le marquant ainsi comme un doublon. Lorsque Husain a déclaré à Google que la faille serait révélée le 17 août, le géant de la technologie a déclaré qu’un correctif était en cours de développement avec un déploiement provisoire le 17 septembre.

Google fournit principalement aux fournisseurs un délai de trois mois pour résoudre les bogues que les chercheurs en sécurité découvrent et signalent avant leur divulgation. Cependant, cette fois, il n’a pas réussi à corriger le bogue signalé par Husain pendant plus de 135 jours.